投稿者:FIDOアライアンススタッフ
金融サービスにおけるFIDO認証の役割と、消費者とカード発行者のセキュリティ強化のために何ができるのか。 これらのトピックは、3月25日にFIDOアライアンスが主催した「Authenticate Virtual Summit: Modern Authentication for Financial Services」の基盤となったものです。
金融サービスに焦点を当てたこのイベントでは、eBay、Financial Data Exchange、Gemini、Google、Javelin Strategy and Research、Mastercard、JP Morgan Chase、StrongKey、Trusona、Visaから講演者が登壇し、認証の未来からユーザーの認証体験を最適化する方法に関するベストプラクティスまで、さまざまなトピックが取り上げられました。
FIDOアライアンスのエグゼクティブディレクター兼CMOであるAndrew Shikiar氏は、開会の基調講演で、パンデミックの過程で金融サービス機関に対するサイバー攻撃が増加し、より強力な認証方法の必要性が高まっていると指摘しました。
「結局のところ、統計の大部分とこれらの問題の大部分は、根本的な真実に帰着します。それは、私たちがハイパーコネクテッドエコノミー、ネットワーク社会を、単に目的に合わない認証モデルで運営しようとしているということであり、それはもちろん、パスワードに依存しているということです。とシキアーは言った。
Shikiarは、FIDOアライアンスが世界をパスワードから脱却させ、ユーザーがより強力な認証形態の恩恵を受けられるようにするためにどのように取り組んでいるかを詳しく説明しました。 特に、FIDOは金融サービス市場において、さまざまなカテゴリーで重要な役割を果たしています。 FIDOの仕様は、現在、金融サービス企業によって、アカウントの乗っ取りやフィッシング攻撃からオンラインアカウントを保護するために使用されています。 主な目標は、組織が強力な認証を簡単に使用できるようにすることです。 Shikiar氏は、FIDOアライアンスのキャッチフレーズは「よりシンプルで強力な認証」であることを強調しました。
「業界が見てきたことが1つあるとすれば、MFAのアプローチは複雑になるということです [Multi-Factor Authentication] そうすればするほど、誰かがそれに固執する可能性は低くなります」とShikiar氏は述べています。「ですから、人々が強力な認証を使い続けるためには、簡単で単一のジェスチャーである必要があります。これがFIDOのアプローチの中核です。」
VisaでのFIDOによる認証の改善
Visaは、世界最大級のクレジットカードブランドおよび金融サービス企業であり、FIDOをセキュリティの向上と不正使用の削減に役立つ強力なツールと見なしています。
基調講演で、VisaのIDおよび認証製品責任者であるDavid Henstock氏は、FIDOの仕様は、決済業界におけるより良い成果を促進する上で重要な役割を果たすと述べました。 Henstock氏は、近年ますます発生しているのが、詐欺師が認証層を標的にしていることだと指摘しました。
「常に浮かび上がる疑問は、アカウント乗っ取り詐欺と戦うためにVisaに何ができるのかということです」 ヘンストックは述べている。 「多くの場合、その原因は知識ベースの認証、つまりパスワードです」
Henstock氏は、FIDOはユーザー名とパスワードからより安全な標準にアップグレードする簡単な方法であり、売り手の認証エクスペリエンスをアップグレードできると指摘しました。 また、FIDOは全体として、認証のためのより優れた、より使いやすいカスタマーエクスペリエンスを提供するのに役立つと付け加えました。
FIDOは、規制コンプライアンスを支援するためにも重要です。 欧州では、PSD2 [Payment Services Directive version 2] が強力な顧客認証(SCA)の使用を義務付けているため、強力な認証の採用を後押ししています。
「ヨーロッパでデジタルコマースを行う場合は、SCAの規制を遵守する必要があります」とHenstock氏は述べています。
StrongKeyのCTOであるArshad Noor氏は、FIDOの導入を支援するため、Authenticateセッションで、組織がグローバル要件の課題に対応するのに役立つStrongKey FIDOサーバーの新機能について詳しく説明しました。
「WebAuthnとFIDOのエコシステムでは、セキュリティ機能と、消費者がFIDOとやり取りする際に経験するユーザーエクスペリエンスとの間で混乱が生じています」とNoor氏は述べています。 「FIDOは、まずセキュリティ技術として、次に利便性技術として捉えるべきだと考えています」
パスワードに対する消費者の信頼は低下しています
パスワードからの脱却の必要性は、規制だけでなく、パスワードベースの認証のセキュリティに対する消費者の信頼の問題でもあります。
ジャベリン・ストラテジー&リサーチのアナリストであるレイチェル・フーバー氏とジョン・バザード氏は、セッションで、詐欺とオンラインセキュリティの観点から市場の状況を概説しました。
「トレンド的には、パスワードに対する消費者の信頼感が大幅に低下していることが分かりました。最後に、と言いたいところです」とBuzzard氏は述べています。
Buzzard氏は、生体認証を含むより強力な認証方法がIDを検証する効果的な方法であることを消費者が認識し始めていると指摘しました。 また、消費者は今、パスワードから離れる準備ができていることを示していると付け加えました。
「パスワードが消えるかどうかはともかく、パスワードはそこにあるという意味では、市のマクチーズ市長のようなものになるかもしれないが、それが必要なら何の意味もない」とバザードは言う。 「それでも問題ありません。なぜなら、私たちはより強力な認証形態で前進する準備ができているからです」
決済と認証の未来
FIDO標準は、eBayのセキュリティの取り組みの中核をなすものであり、オンラインマーケットプレイスが多様なユーザーベースのニーズを満たすのに役立っています。 eBayは、Payments and the Future of Authentication(決済と認証の未来)に関するパネルディスカッションで、アイデンティティ、モビリティ、アナリティクスのプロダクトマネジメントエグゼクティブであるAshish Jain氏は、同社のプラットフォームにとって重要な課題は、幅広い顧客ベースのニーズと要件に適合する適切なエクスペリエンスを提供することであると説明しました。
「FIDOの調査を開始し、Google、Microsoft、Appleがサポートしていることがわかったとき、FIDOがさまざまな顧客のニーズを満たすことができるという自信がつきました。そのため、このプロトコルの調査と投資を続けています」とJain氏は述べています。
Google の ID & セキュリティ担当プロダクト マネージャーである Christiaan Brand 氏にとって、FIDO の導入はフィッシング リスクを抑制する手段として始まり、Google とユーザーの両方にとってセキュリティのさまざまな側面を改善する方法へと進化しました。
「FIDOは、セキュリティへの対処と、その軸の改善の両方を目的としていると同時に、ユーザビリティの面でも改善することを目的としている、数少ないセキュリティ発明の1つです」とBrand氏は述べています。 「現在、プラットフォームに組み込まれているFIDOコンポーネントは、ユーザーにより良い、より安全な体験を提供します。」
Mastercardのアイデンティティソリューション担当シニアバイスプレジデントであるRanjita Iyer氏によると、FIDOの仕様は、シームレスな認証と決済体験を可能にするために、 EMV 3Dセキュア の取り組みを含む他の標準と組み合わされ、デジタル取引の承認率の向上と不正の減少につながる可能性があります。
FIDOを他の標準と統合することも、Financial Data Exchange(FDX)がスタックで実装しているものです。 Financial Data ExchangeのマネージングディレクターであるDon Cardinal氏は、セッションで、彼の組織は、データへの安全なアクセス許可のための相互運用可能なロイヤリティフリーの基準を中心に金融サービス業界を統一することに専念していると説明しました。
「全体的なアイデアは、ユーザーIDとパスワードの共有をやめ、セッション全体でそれらを使用するのをやめることです」とCardinal氏は述べています。 「理想的には、FDX全体でOIDC(OpenID Connect)とFIDOがあれば、セットアップ全体を登録、使用、消費でき、クレデンシャルを使用する必要がありません。これは、今日の時代には非常に強力だと思います。」
強力な認証のためのUXの最適化
FIDO仕様の技術的な詳細は、強力な認証を可能にするために重要ですが、ユーザーエクスペリエンスを最適化することは、採用に不可欠です。
この日の最後のパネルディスカッションでは、FIDOアライアンスのマーケティングディレクターであるMegan Shamas氏が、FIDOのユーザーエクスペリエンスをテストし、改善するための取り組みが現在進行中であると述べました。 このテスト作業のガイダンスは、2021年後半に公開される予定です。
Visaのデザインディレクター(CX/UI)であるKerry Hebert氏は、FIDOの実装はユーザーの採用にかかっている可能性が高く、採用はユーザーが登録した場合にのみ行われることを強調しました。 彼女は、ユーザーが登録の一歩を踏み出すためには、それが提供するものに価値があり、何らかの形で消費者の生活を少しでも良くすると信じる必要があると指摘しました。
Trusonaのチーフ・エクスペリエンス・オフィサーであるKevin Goldman氏は、金融サービス企業が次のことを考えないことを強く推奨しています。 ユーザーエクスペリエンスは、プロセスの最後に付け加えられるものです。 むしろ、FIDO標準をサポートし、実現するプロセス全体の統合部分であると彼は提案しています。
JPMorgan Chase & CoのデジタルIDおよび認証担当バイスプレジデント兼プロダクトマネージャーであるJudy Clare氏は、パネルディスカッションで、エクスペリエンスの観点から、FIDOのエンゲージメントは消費者にとって理解しやすいものである必要があると示唆しました。
「価値提案を本当に持たなければなりません – 私にとって何があるのか、そしてなぜ私はこれをクリックして、サインアップするのに30秒余分にかかる必要があるのか、そしてそれは私の道を進む必要があります。なぜなら、私は何かをするためにここにいるのに、これはそれではなかったからです」とクレアは述べています。 「ですから、ユーザーのことを念頭に置いておくことが本当に重要なのです」
次は: More Authenticate Summits と Authenticate 2021 カンファレンス
2021年は、FIDOアライアンスからさらに多くのコンテンツが提供される予定です。
今後、6月には、ヨーロッパでの強力な認証に焦点を当てた別の仮想イベントが開催されます。 また、10月にシアトルで開催される物理的なAuthenticateカンファレンスの計画もまとまっています。
「一般的に、私たちが目にしているのは、多くのベストプラクティスの共有であり、誰もが一緒になってこれに取り組んでおり、ネットワーク経済の保護を支援することに意欲的であり、FIDO認証はそのための優れた方法を提供します」とShikiar氏は述べています。 「ですから、ぜひご参加ください」
